Информация по безопасности / 2014 / Информация о безопасности -- DSA-3075-1 drupal7

Рекомендация Debian по безопасности

DSA-3075-1 drupal7 -- обновление безопасности

Дата сообщения:

20.11.2014

Затронутые пакеты:

drupal7

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-9015, CVE-2014-9016.

Более подробная информация:

В Drupal, полнофункциональной инфраструктуре управления содержимым, были обнаружены две ошибки. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-9015

  Аарон Аверил обнаружил, что специально сформированный запрос может дать пользователю доступ к сессии другого пользователя, что позволяет злоумышленнику похитить случайную сессию.

• CVE-2014-9016

  Михаэль Куллум, Хавьер Нието и Андрес Рохас Гуерреро обнаружили, что API хэширования паролей позволяет злоумышленнику отправлять специально сформированные запросы, приводящие к чрезмерному потреблению времени процессора и памяти. Это может приводить к тому, что сайт становится недоступным или перестаёт отвечать (отказ в обслуживании).

Следует проверить изменённые файлы session.inc и password.inc на предмет того, подвержены они указанным уязвимостям или нет. Дополнительная информация может быть найдена в рекомендации из основной ветки разработки по адресу: https://www.drupal.org/SA-CORE-2014-006

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.14-2+deb7u8.

Рекомендуется обновить пакеты drupal7.